本文來自微信公眾號(hào)“安全牛”。
零信任安全理念在今天的企業(yè)網(wǎng)絡(luò)安全建設(shè)中儼然已取得了成功。據(jù)云安全聯(lián)盟在2022年的最新調(diào)查數(shù)據(jù)顯示,幾乎所有受訪的企業(yè)正在實(shí)施或準(zhǔn)備實(shí)施零信任安全建設(shè),而77%的受訪企業(yè)表示,將在2023年增加零信任安全建設(shè)的投入支出。但Gartner公司副總裁兼分析師John Watts日前表示:隨著零信任概念備受炒作,一些企業(yè)組織的零信任安全建設(shè)出現(xiàn)了過度關(guān)注和投入的問題。
過度投入的危害
零信任安全應(yīng)用現(xiàn)在仍處于早期階段,Gartner研究發(fā)現(xiàn),目前僅有不到1%的大企業(yè)真正實(shí)現(xiàn)了成熟的、可衡量的零信任計(jì)劃,建設(shè)零信任需要時(shí)間,難以快速實(shí)現(xiàn)。
但市場對(duì)零信任解決方案的建設(shè)需求卻在快速增長,當(dāng)零信任概念由營銷炒作快速轉(zhuǎn)變?yōu)榻ㄔO(shè)落地時(shí),也意味著很多企業(yè)用戶會(huì)遇到一些不可避免的陷阱。其中一個(gè)最新發(fā)現(xiàn)的陷阱就是,實(shí)際上很多企業(yè)可能過度關(guān)注零信任這個(gè)概念?,F(xiàn)在擺在這些企業(yè)面前的問題與其說是對(duì)零信任投入不足,還不如說是投入過度。
如果企業(yè)過度期待零信任在安全方面帶來的功效,就會(huì)忽視了做好其他必須的安全工作。Optiv首席信息安全官M(fèi)ax Shier認(rèn)為:我們已經(jīng)看到一些企業(yè)對(duì)零信任的期望變得不切實(shí)際。網(wǎng)絡(luò)安全界沒有靈丹妙藥,零信任也不是。零信任無法解決組織面臨的所有安全威脅。比如說,當(dāng)企業(yè)越來越多地提供面向外部的應(yīng)用和服務(wù)時(shí),會(huì)引起企業(yè)威脅暴露面的不斷擴(kuò)大,但有效的攻擊面管理并不能通過零信任控制措施來實(shí)現(xiàn);另一種典例是安全威脅是軟件供應(yīng)鏈攻擊,零信任技術(shù)有助于防止對(duì)應(yīng)用程序代碼的感染,但是攻擊者發(fā)起類似于SolarWinds等攻擊事件時(shí),依靠零信任技術(shù)則難以解決。
此外,零信任是一項(xiàng)變革性的工作。企業(yè)組織短期內(nèi)的過度投入,將不利于零信任安全建設(shè)的持續(xù)開展。在開展零信任安全建設(shè)之前,很多企業(yè)多年來在安全和網(wǎng)絡(luò)軟硬件設(shè)備上已經(jīng)投入了大量的資金,企業(yè)組織應(yīng)該盡可能利用好現(xiàn)有技術(shù)和設(shè)備,在此基礎(chǔ)上實(shí)現(xiàn)向零信任戰(zhàn)略轉(zhuǎn)型。
與其他任何長期的戰(zhàn)略項(xiàng)目一樣,企業(yè)在開展零信任安全建設(shè)前,也需要制定科學(xué)的實(shí)施計(jì)劃。NSTAC(美國國家安全電信咨詢委員會(huì))在其編寫的《零信任和可信身份管理報(bào)告》指南報(bào)告中,列出了零信任實(shí)施的五個(gè)關(guān)鍵步驟:界定保護(hù)范圍、映射事務(wù)流、構(gòu)建零信任架構(gòu)、制定零信任策略以及監(jiān)控和維護(hù)網(wǎng)絡(luò),這強(qiáng)調(diào)了實(shí)施零信任將是一個(gè)長時(shí)間的優(yōu)化迭代過程,也說明了零信任安全能力難以通過短期快速投入來獲得,需要制定科學(xué)、合理的實(shí)施計(jì)劃。
應(yīng)關(guān)注主要風(fēng)險(xiǎn)
零信任安全建設(shè)的熱潮始于2009年,即谷歌開始實(shí)施BeyondCorp計(jì)劃,這被視為第一個(gè)成功的零信任建設(shè)項(xiàng)目實(shí)踐。然而大多數(shù)的企業(yè)并不能像谷歌一樣,具備在零信任方面大力投入的能力,也不需要將零信任安全建設(shè)的那么深入。不同企業(yè)組織對(duì)零信任的需求和目標(biāo)都不相同,因此零信任的理想投入程度也不一樣。
盡管谷歌在建立其零信任安全架構(gòu)時(shí),是從頭開始建立了整個(gè)安全網(wǎng)絡(luò)。但對(duì)于大部分企業(yè)組織來說,并不需要這樣。零信任建設(shè)其實(shí)可以簡單的通過增強(qiáng)環(huán)境中已有的安全控制開始。在實(shí)際建設(shè)中,一些企業(yè)組織可能只需要實(shí)施一些單點(diǎn)式零信任方案,就可以帶來較大的價(jià)值??茖W(xué)的規(guī)劃與合理的投入對(duì)零信任安全的長期建設(shè)很有利,因?yàn)椴粌H降低了項(xiàng)目實(shí)施難度,同時(shí)也可以更快的從中獲益。
Watts認(rèn)為,企業(yè)組織應(yīng)當(dāng)首先搞清楚自己需要用零信任戰(zhàn)略來解決的主要安全風(fēng)險(xiǎn),并使用一些獨(dú)立的零信任理念工具來逐步應(yīng)對(duì)這些風(fēng)險(xiǎn),而不一定是從一個(gè)全面的零信任平臺(tái)做起。對(duì)于大多數(shù)企業(yè)來說,零信任架構(gòu)的建設(shè)時(shí)機(jī)和方法,有多種實(shí)現(xiàn)路徑可以選擇。不同行業(yè)、規(guī)模和需求的企業(yè),應(yīng)該基于自身對(duì)零信任概念的理解,選擇適合自己的零信任道路,這樣才能提高安全技術(shù)和投資的有效性,為企業(yè)長期實(shí)現(xiàn)零信任之路打下堅(jiān)實(shí)的基礎(chǔ)。
需要強(qiáng)調(diào)的是,企業(yè)在開展零信任安全建設(shè)時(shí),還應(yīng)將用戶體驗(yàn)放在首位,盡可能保證零信任戰(zhàn)略在企業(yè)應(yīng)用流程中的順暢性。如果員工認(rèn)為復(fù)雜的零信任方案阻礙了正常業(yè)務(wù)工作開展,就會(huì)設(shè)法繞過方案中包含的安全管控環(huán)節(jié),不能真正實(shí)現(xiàn)零信任安全建設(shè)的預(yù)期目標(biāo)。